银行业应用系统非功能需求第7部分：安全性

银行业应用系统非功能需求第7部分：安全性

国家标准 GB/T40473.7一2021 银行业应用系统非功能需求 第7部分:安全性 Bankingapplicationsystem一Nonfunctionalrequirement Part7:Seeurity 2021-07-20发布 2022-02-01实施 国家市场监督管理总局 发布 国家标涯花管理委员会国家标准
GB;/T40473.7一2021 目 次 前言 引言 范围 规范性引用文件 2 术语和定义 安全性元素与组件层次及描述方式 4.1层次 4.2描述方式 保密性族(SE_CFD)y 5.1内部的非功能需求(NFIR 5.1.1使用算法(ISE_CFD.1) 访问控制(ISE_CFD.2) 5. l. 5.1.3数据保密(ISE_CFD.3 5.1.4处理保密(ISE_CFD.4 5.1.5存储保密(ISE_CFD.5 5.1.6通信保密(ISE_CFD.6 l0 5.2外部的非功能需求(NFOR) l0 5.2.1安全需求的确定(OSE_CFD.1) 5.2.2 10 运行环境保密(OSE_CFD.2) 11 5.2.3运行网络保密(OSE_CFD.3 完整性族SE_ITG 12 6.1内部的非功能需求(NFIR 12 6,l.1 12 网络协议完整性(sE_IrG.1 本地数据完整性(ISE_ITG.2) 6,l.2 12 6.2外部的非功能需求(NFO)R) 12 抗抵赖性族(SE_NRP) 13 7.1内部的非功能需求(NFIR 13 7.1.1原发和接收证据(ISE_NRP.1 13 7.1. 支持数字签名(ISE_NRP.2) 13 ..2 7.2外部的非功能需求(NFOR) 13 可核查性族(SE_ACN) 13 8.1内部的非功能需求(NFIR 13 14 8.2外部的非功能需求(NFOR 8.2.1运行环境审计(0SE_ACN.1 14 8.2.2网络审计(OSE_ACN.2 15 真实性族(SE_AUT)
GB/T40473.7一2021 15 9.1内部的非功能需求(NFIR 15 9.1.1用户划分与身份鉴别ISE_AUT.1) 16 9.1.2登录保护(ISE_AUT.2) 9.1.3数字证书(ISE_AUT.3 16 17 9.1.4数字令牌(ISE_AUT.4 17 9.1.5系统连接(ISE_AUT.5 17 9.2外部的非功能需求(NFOR 18 附录A资料性访问控制的类型 18 A.1访问控制的概念和基本类型 18 A.2访问控制的机制 20 参考文献
GB;/T40473.7一2021 前 言 本文件按照GB/T1.1一2020<标准化工作导则第1部分;标准化文件的结构和起草规则》的规定 起草 本文件是GB/T40473《银行业应用系统非功能需求》的第7部分 GB/T40473已经发布了以 下部分 第1部分;描述框架; 第2部分:功能适宜性 第3部分:性能效率; 第4部分:兼容性; 第5部分易用性 第6部分;可靠性; -第7部分;安全性; 第8部分;可维护性; 第9部分;可移植性 请注意本文件的某些内容可能涉及专利 本文件的发布机构不承担识别专利的责任 本文件由人民银行提出 本文件由全国金融标准化技术委员会(sAc/Tc18o)归口 本文件起草单位;人民银行科技司、农业银行股份有限公司、外汇交易中心暨全国银 行间同业拆借中心人民银行清算总中心,建设银行股份有限公司,交通银行股份有限公司,农 信银资金清算中心有限责任公司、金融电子化公司 本文件主要起草人;李伟、杨富玉,曲维民、李宽、王鹏、马骏、王锋、杨明英、葛洪慧、崔婉曼、赵刘韬、 叶曼、,梁军,景芸、王灿雍、陆原鹏、杨倩、谢彦丽、刘书元、王思源
GB/T40473.7一2021 引 言 GB/T40473给出了银行业应用系统非功能需求的描述框架和各类银行业应用系统非功能需求的 模板,旨在提高银行业应用系统非功能需求的编制质量和效率,降低编制银行业应用系统非功能需求的 门槛和成本,由九个部分组成 第1部分:描述框架 目的在于明确银行业应用系统的范睦,确立银行业应用系统非功能需求 的描述框架,阐明银行业应用系统非功能需求的标识和描述,给出银行业应用系统非功能需求 的定制包与定制轮廓,提出对银行业应用系统非功能需求的技术管理与评价,并给出银行业应 用系统非功能需求的XM描述的方法,是其余各部分阅读和应用的基础 第2部分;功能适宜性 目的在于给出包括功能完整性、功能正确性和功能适合性的功能适宜 性需求,这些需求从严谨的需求分类看,可以看作是功能需求,但在银行业应用系统的研发中， 往往被视作非功能需求 第3部分;性能效率 目的在于给出包括时间特性、资源利用和容量的性能效率需求 第4部分,兼容性 目的在于给出包插共存性和互操作性的兼容性 第5部分;易用性 目的在于给出包括可辨识性、易学性、易操作性、用户差错防御性、用户界 面舒适性和易访问性的易用性 第6部分,可靠性 目的在于给出包括成熟性、可用性、容错性和易恢复性的可靠性 第7部分;安全性 目的在于给出包括保密性、完整性、抗抵赖性、可核查性和真实性的安 全性 第8部分;可维护性 目的在于给出包括模块性、可重用性、易分析性、易修改性和易测试性的 可维护性 第9部分;可移植性 目的在于给出包括适应性、易安装性和易替换性的可移植性 当不考虑缩写和编号含义时,本领域的技术人员基于本领域的专业知识,可基本正确地理解本文件的 实质性内容 但在如下典型的情况下,本文件的应用者宜先阅读并理解GB/T40473.1一2021 编制应用系统的非功能需求; 评审应用系统的非功能需求; 对应用系统按照非功能需求开发的系统进行验证和确认 对应用系统按照非功能需求开发的系统进行静态和动态测试 对按照本文件编制的非功能需求,若以GB/T40473.1一2021给出的XM形式描述,会对非功能 需求带来传输和处理上更大便利 IN
GB;/T40473.7一2021 银行业应用系统非功能需求 第7部分:安全性 范围 本文件界定了银行业应用系统安全性的概念,规定了安全性元素与组件层次及描述方式、安全性类 保密性族、完整性族、抗抵赖性族、可核查性族和真实性族非功能需求模板 本文件适用于银行业各类应用系统对安全性类非功能需求的描述 与银行业应用系统进行信息交 换的应用系统根据需要可参照使用 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款 其中,注日期的引用文 件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于 本文件 GB/T40473.1一2021银行业应用系统非功能需求第1部分;描述框架 术语和定义 GB/T40473.1一2021界定的以及下列术语和定义适用于本文件 3.1 信息安全性surttry 产品或系统保护信息和数据的程度,以使用户其他产品或系统具有与其授权类型和授权级别一致 的数据访问度 注1;信息安全性不仪适用于存储在产晶或系统中的数据或者通过产品或系统存储的数据,也适用于传输中的 数据 注2;存活性(在受到攻击时产品或系统及时提供必要的服务,继续履行其任务的程度)包含在易恢复性中 注3，免疫性(产品或系统抗攻击的程度)包含在完整性中 注4:信息安全性有助于可靠性 [来源:(GB/T25000.102016,4.3.2.6] 保密性confidentiality 产品或系统确保数据只有在被授权时才能被访向问的程度 [来源.GB/T25000.102016,4.3.2.6.1] 3.3 完整性integrity 系统、产品或组件防止未授权访问、篡改计算机程序或数据的程度 [来源:GB/T25000.10-2016,4.3.2.6.2] 3.4 抗抵赖性non-repudiationm 活动或事件发生后可以被证实且不可被否认的程度
GB/T40473.7一2021 [[来源;GB/T25000.10一2016,4.3.2.6.3] 3.5 meability 可核查性 acc0un 实体的活动可以被唯一地追溯到该实体的程度 [来源GB/T25000.10一2016,4.3.2.6.打 3.6 真实性authentieity 对象或资源的身份标识能够被证实符合其声明的程度 [来源;GB/T25000.102016,4.3.2.6.2] 安全性元素与组件层次及描述方式 4.1层次 安全性各族元素与组件层次按照GB/T40473.1-2021中5.1规定的方式,在图1一图7中给出 其中,类和族的概念在本文件的术语中给出 SECFD保密性 SE_ITG完整性 SE安全性 SENPR抗抵赖性 SEACN可核查性 SEAUT真实性 安全性的族
GB;/T40473.7一2021 ISECFD.1使用算法 ISECFD.2访问控制 ISECFD.3 数据保出 ISECFD.4处理保密 SECFD保密性 NFIR 1SECFD.5存储保密 SECFD，6通信保 图2安全性的保密性族的内部的非功能需求
GB/T40473.7一2021 oSEcFD.1安全需求的确定 OSECFD.2运行环境保密 NFOR sSECFD保密性 OSECFD.3运行网络保密 图3安全性的保密性族的外部的非功能需求
GB;/T40473.7一2021 ISEITG.1网络协议完整性 NFIR ISEITG.2本地数据完整性 SEIrG完整性 NFOR 0SEITG.1应用环境完整性 图4安全性的完整性族 原发和接收证据 ISENRP.1 NFIR SENRP抗抵赖性 ISENRP.2支持数字签名 NFOR 图5安全性的抗抵赖性族
GB/T40473.7一2021 NFIR ISEACN.1应用系统审计 SEAcN可核查性 10 1m oSEACN,1运行环境审计 NFOR OSEACN.2网络审计 图6安全性的可核查性族
GB;/T40473.7一2021 IsEAUT.1用户划分与身份鉴别 ISE_AUT,2登录保护 NFIR 10 ISEAUT.3数字证书 区 SEAUT真实性 ISEAUr.4数字令牌 1SEAUr.5系统连接 NFOR 图7安全性的真实性族
GB/T40473.7一2021 4.2描述方式 非功能需求的描述按GB/T40473.1一2021中第7章给出的方式组织 5 保密性族(SE_CFD) 5.1内部的非功能需求(NFIR) 5.1.1使用算法(ISE_CFD.1) ISE_CFD.1.1应用系统支持的对称密钥加密算法包括【多选:国密SM1,国密SM4,DESs,3DES. AES,IDEA,FEAL,BL.OwFISH,MISTY1,CAsT-128,Camellia,SEED,RC4,RC5,RC6,【描述赋值: 其他对称密钥加密算法】/关如在不同的场景应用了不同的算法,应采用细化操作说明* 1SE_CFD.1.2/关仅当ISE_CFD.1.1给出时适用*【重复:在应用系统中【枚举项:1SE_CFD.1.1 中选中的每个算法】密钥长度为【指标赋值:密钥长度/关如同一算法在不同的加密中选择不同的密钥 长度,应执行细化和重复操作说明*]位.】 1SE_CFD.1.3应用系统支持的非对称密钥加密算法包括【多选:国密SM2,RSA,DSA,ECC, Elgamal,Diffie-Helman,Merkle-Hellman,Rabin,【描述赋值:其他非对称密钥加密算法】/如在不同 的场景应用了不同的算法,应采用细化操作说明*】. ISE_CFD.1.4 仅当ISE_CFD.1.3给出时适用关【重复:在应用系统中【枚举项:ISE_CFD.1.3 中选中的每个选项】密钥长度为【指标赋值:密钥长度/关如同一算法在不同的加密中选择不同的密钥 长度,应执行细化和重复操作说明关】位 1SE_CFD.l.5应用系统支持的消息摘要算法包括多选:国密SM3,SHA-1,SHA-224,SHA-256， SHA-512,SHA-384,RIPEMD-160,RIPEMD128,MD2,MD4,MD5,【描述赋值:其他消息摘要算法 如在不同的场景应用了不同的算法,应采用细化操作说明*】. 5.1.2访问控制ISE_CFD.2 1SE_CFD.2.1应用系统针对不同分级信息的访问控制策略为【描述赋值:访问控制策略/*对有 多个访问控制策略的,应逐个说明关】 ISE_CFD.2.2【重复:应用系统的【枚举项:用户,角色,权限组】名称不少于指标赋值:字符数量】 个字符且不多于【指标赋值:字符数量】个字符,其命名的规则为【描述赋值;命名的规则】.】 1SE_CFD.2.3应用系统采用【单选;不限制任何访问，自主访问控制DAC),强制访问控制 MAC),【描述赋值:其他访问控制类型1的访问控制手段,访问控制的机制为【单选:不限制任何访问 主客体视角的访问控制模型,基于角色的访问控制模型(RBAC),基于任务的访问控制模型(TBAC) 【描述赋值:其他访问控制机制/关如果采用基于风险(Risk-based)的访问控制模型,则应说明风险分 析的方法，一个可行的模型见本文件附录A 】/关如在不同的场景采用了不同的机制,应采用细化 操作说明 ISECFD.2.4 仅当ISE_CFD.2.3给出时适用关【重复:应用系统采用枚举项:ISE_CFD.2.3 中每个选中的访问控制机制】提供针对【多选:文件,数据库表,【描述赋值;其他客体】的访问控制,并可 以实现针对【多选;基于客户端,基于服务器端,【描述赋值:其他选项】的访问控制 访问控制包括【多 选;读,写,执行,增加,修改,删除,查询,调用,拒绝访问,【描述赋值:其他控制方式】/关如对不同的内 容有不同的访问控制,则执行细化和重复操作进行说明*】.】 1SE_CFD.2.5应用系统基于角色的访问控制机制能够【多选;“明确用户角色分类,不同角色之间 权限能相互制约",“只能由授权用户创建和管理普通用户,并配置普通用户的访问控制策略",“明确关
GB;/T40473.7一2021 键操作,并在用户执行关键操作时再次进行身份认证”,“要求默认用户权限和新创建用户的默认权限为 最小权限”,“根据用户权限显示用户菜单,实现用户界面个性化”,“设置审计员角色,且仅审计员可查看 和管理审计日志”,“根据用户角色建立用户与权限的实际对应关系”,“明确不同权限的互斥关系,不准 许互斥权限授予同一角色”,“对重要信息资源设置敏感标记,并依据安全策略控制用户对有敏感标记重 要信息资源的操作",【描述赋值:其他技术特点】/*在有限制条件的情况下能够实现这些技术要求时， 应采用细化操作进行说明 5.1.3数据保密(ISE_CFD.3 SE_CFD,3.1应用系统采用多选;硬件加密,点对点的数据加解密网络,【描述赋值:其他有效撒 施】实现【多选:系统管理数据,鉴别信息,重要业务数据,【描述赋值:其他数据】的【多选:采集,传输， 使用,存储】过程的保密性 在不同的数据或处理环节涉及不同的方式时,应采用细化操作进行说 明;在必要时可引用处理保密、存储保密以及通信保密的元素进行说明关/ 应用系统对跨安全区域的重要通信【单选"T多选;提供专用通信协议,安全通信协 ISE_CFD.3.2 议】服务,避免来自基于通用协议的攻击破坏数据保密性”,“无避免来自基于通用协议的攻击破坏数据 保密性的措施” 5.1.4处理保密(ISE_CFD.4 IsE_CFD.4.1应用系统的客户端【单选;可能,不会】向临时文件中写人敏感信息 1sE_cFD.4.2应用系统L单选;能.不能】对本应用系统【多选;存储传输,处理】不同种类的信息 区分敏感度级别,【单选;能,不能】对本应用系统【多选;存储,传输,处理】相同种类的信息区分敏感度级 别,敏感度级别的划分方式是【描述赋值;敏感度级别的划分/关如对不同种类和相同种类的划分方式 不一致,应执行细化和重复操作说明 SE_CFD.4.3【重复;应用系统在【枚举项:客户端,服务器.【描述赋值:其他选项]端采取了【多 选;介质级加密,嵌人式加密,文件级加密,数据库加密,主机应用加密,【描述赋值:其他存储加密手 段];该敏感信息在内存中的空间被释放前【单选;会,不会】被重新擦写 】 5.1.5存储保密(ISE_CD.5 SE_CFD.5.1应用系统的数据库访问具有【多选:身份认证,通信加密与完整性保护.数据库加密 设置,多级密钥管理模式,安全备份,【描述赋值;其他安全机制】/*如在不同的情况下应用不同的安全 机制,则应对执行细化和重复操作进行说明*】安全机制 SE_CFD.5.2应用系统的数据库具有【多选;数据库用户数据,数据库应用数据,配置文件中的数 据库连接参数，【描述赋值;其他加密事项]加密机制 SE_CFD.5.3应用系统的操作系统中的文件【单选:具有,没有】加密存储机制 SE_CFD.5.4应用系统的用户的鉴别信息所在的存储空间,包括存放在【多选;硬盘,内存,【描述 赋值:其他存储设施]中的,被释放 其他应用使用前【单选;能,不能,不确定是否】得到完全 再西给 清除/*若不同的用户鉴别信息存放在不同的设施中清除策略不一样的,应采用细化操作说明*/ 1SE_CFD.5.5应用系统的【多选:系统文件,系统目录,数据库记录.【描述赋值:其他逻辑存储单 元1等资源所在的存储空间,被释放或再分配给其他应用使用前【单选;能,不能0SE_CFD.3.2,不确定 是否】得到完全清除/关若不同的用户鉴别信息存放在不同的设施中清除策略不一样的,应采用细化操 作说明 5.1.6通信保密(ISE_CFD.6 !SE_CFD.6.1【重复;应用系统在【枚举项:服务器与客户端,服务器与另外的应用系统,【描述赋
GB/T40473.7一2021 值;其他通信场景]之间通信采用【多选;网络认证协议Kerberos,安全电子交易协议SET,安全套接层 协议sSSL,安全传输层协议TL.S,安全超文本传输协议HTTPS,安全电子邮件协议S/MIME,网络层安 全协议IPSee.,【描述赋值:其他协议/关如在不同实体之间通信采用不同的认证协议的,则应对执行 细化和重复操作进行说明 1SE_CFD.6.2从消息的来源来考虑,应用系统的【多选;所有协议均不,内网服务器之间的通信协 议,内网服务器与外部专线网络的通信协议,内部服务器与互联网服务器的通信协议,内部服务器与内 网客户端之间的通信协议,内部服务器与外部专线网络客户端的通信协议,内部服务器与互联网客户端 的通信协议,【描述赋值:其他选项】/*如不同的协议可防止的攻击不同,应使用细化和重复操作说明 *】具有防止【多选;协议轮内攻击协议轮外攻击【描述赋值;其他选项1报文重放攻击的机制 ISE_CFD.6.3从消息的去向来考虑,应用系统的【多选所有协议均不,内网服务器之间的通信协 议,内网服务器与外部专线网络的通信协议,内部服务器与互联网服务器的通信协议,内部服务器与内 网客户端之间的通信协议,内部服务器与外部专线网络客户端的通信协议,内部服务器与互联网客户端 如不同的协议可防止的攻击不同,应使用细化和重复操作说明 的通信协议，,【描述赋值:其他选项】 】具有防止【多选;偏转攻击,直接攻击，,【描述赋值:其他选项】报文重放攻击的机制 ISE_CFD.6.4应用系统的多选所有协议均不,内网服务器之间的通信协议.内网服务器与外部 专线网络的通信协议,内部服务器与互联网服务器的通信协议,内部服务器与内网客户端之间的通信协 议,内部服务器与外部专线网络客户端的通信协议,内部服务器与互联网客户端的通信协议,【描述赋 值:其他选项】具有【多选:防sQL注人攻击,防跨站脚本攻击,防网络钓鱼网络诈骗攻击,防敏感信息 泄露,【描述赋值:防止的其他攻击】/关如通信实体之间以及不同的协议可防止的攻击不同,应使用细 化和重复操作说明关的机制 1SE_CFD.6.5应用系统通信数据的数据加密方式为【多选;硬件加密,软件加密,硬件十软件混合 加密,【描述赋值:其他加密方式 1SE_CFD.6.6/关仅当ISE_CFD.6.5给出时适用*/如果应用系统通信数据加密方式为硬件加 密,加密设备为[单选:加密机,加密卡,密钥盘,【描述赋值:其他加密设备】】1 5.2外部的非功能需求(NFoR) 5.2.1安全需求的确定(OSE_CFD.1 OSE_CFD.1.1应用系统【单选;定义,未定义】需由应用系统本身和应用系统的运行环境共同抵 御的威胁 OSE_CFD,1.2应用系统【单选;定义,未定义】需由应用系统本身和应用系统的运行环境联合执 行的组织安全策略 OSE_CFD.1.3应用系统【单选;确定,未确定】应用系统运行环境的假设 OSE_CFD.1.4/*仅当OSECFD.1.1,OSE_CFD.1.2和OSE_CFD.1.3均给出时适用*/应用 系统【单选;确定,未确定】应用系统本身和应用系统运行环境的安全目的 OSE_CFD.1.5/*仅当OSE_CFD,1.4给出时适用并/应用系统【单选;分析,未分析】应用系统 本身和应用系统运行环境的安全目的是否可以在上述假设和组织安全策略的支撑下,抵御全部定义的 威胁 5.2.2运行环境保密(OSECFD.2 OSE_CFD.2.1应用系统的运行环境具有【多选;病毒防范,跟踪cookies防范,恶意的移动代码防 范,【描述赋值:其他防范措施】措施 OSE_CFD.2.2应用系统的运行环境具有监测【多选:端口扫描,强力攻击,木马后门攻击,拒绝服 10
GB;/T40473.7一2021 务攻击,缓冲区溢出攻击,注人式攻击,IP碎片攻击,网络蠕虫攻击,【描述赋值;其他攻击】的措施 OSE_CFD.2.3【重复:应用系统运行环境监测到【枚举项:OSE_CFD.2.2提及的每种攻击】时,【单 选;能够记录【多选;记录攻击源IP,攻击类型,攻击目的,攻击时间】,无记录】,在发生严重人侵事件时， 【单选;能,不能】提供报警功能.】 OSE_CFD.2.4应用系统的运行环境【单选;能,不能】定期对恶意代码防护设备进行代码库升级 和系统更新 OSE_CFD.2.5应用系统的主机系统对与之相连的【多选;服务器,终端设备【单选;进行,不进 行】身份标识和鉴别/关若对服务器与终端设备不同,或对不同的服务器以及不同的终端设备不同,应 采用细化操作分别进行说明 0SE_CFD2.6应用系统的客户端建立了【多选防键盘窃听,防恶意程序盗取敏感信息,防屏幕 录像技术,【描述赋值;其他选项机制 OSE_CFD.2.7应用系统的【多选:操作系统,数据库系统，【描述赋值:其他支撑系统】用户的鉴 别信息所在的存储空间,包括存放在【多选;硬盘,内存,【描述赋值;其他存储设施】中的,被释放或再分 配给其他使用人员前【单选;能,不能,不确定是否】得到完全清除/*若不同的用户鉴别信息存放在不 同的设施中清除策略不一样的,应采用细化操作说明 OsE_CFD.2.8应用系统的【多选;系统文件,系统目录,数据库记录,【描述赋值;其他逻辑存储单 元1等资源所在的存储空间,被释放或再分配给其他使用人员前【单选;能,不能,不确定是否】得到完全 清除/弟若不同的用户鉴别信息存放在不同的设施中清除策略不一样的,应采用细化操作说明 OSE_CFD.2.9应用系统【单选使用,不使用】敏感标记机制 OsE_CFD2.1o在应用系统使用敏感标记机制时.访问人员控制的主体粒度为[单选;角色,用 户.【描述赋值;其他粒度1.访问软件控制的主体粒度为【单选;进程,线程,【描述赋值:其他粒度】,客 体粒度为【单选;文件,数据库,数据库表,数据库记录,数据库字段，,【描述赋值;其他粒度1/弟若不同 的情况下主体和客体的访问控制粒度不一样,应采用细化操作说明*/ 5.2.3运行网络保密(osE_CD.3) OsE_CFD.3.1应用系统的运行网络【单选;能,不能】对非授权设备私自联到内部网络的行为进 行检查,【单选;能,不能】准确定出位置,【单选;能,不能】对其进行有效阻断 OSE_CFD.3.2应用系统的运行网络【单选:能.不能】对内部网络用户私自联到外部网络的行为 进行检查.【单选;能,不能】准确定出位置.,【单选;能,不能】对其进行有效阻断 OSE_CFD.3.3应用系统的运行环境【单选;能,不能】在与外单位和互联网连接的网络边界处对 恶意代码进行检测和清除 OSE_CFD.3.4应用系统的运行网络【单选;能,不能】控制数据带通用协议通过 OSE_CFD.3.5应用系统的运行网络【单选;能,不能】控制带有敏感标记的数据通过 OSE_CFD.3.6应用系统在【重复【枚举项【单选;生产网,准生产网,测试网,办公网,互联网 DMZ.【描述赋值;除前述外的其他网络】和【单选:生产网,准生产网,测试网,办公网,互联网,DMZ 【描述赋值;除前述外的其他网络】/*除非两个同类网络连接有特殊意义,否则应为两个不同的网络的 连接*之间,实现【单选:;网络隔离,限制通信/*在必要时应采用细化操作说明限制的内容*】 【单选;不定期,【指标赋值;评估期限】进行安全问题评估并提供评估报告】.】 OSE_CFD.3.7【重复;应用系统在【枚举项:0SE_CFD.3.6所列举的网络】之间,需要进行远程访 问时，【单选;需由,不需】被访问单位开启远程访问服务,【单选:只能通过,无需通过】办公区/生产区堡 垒机服务器)后再连接,【单选;采取,无需】单列账户安全防护措施，【单选:采取,无需】最小权限分配安 全防护措施,【单选;能,不能】建立可信信道,远程访问完毕后【单选;立即,不需】关闭远程访问服务 】 OSE_CFD.3.8应用系统的运行网络[单选:有,无】对网络设备系统自带的服务端口的控制机制， 1
GB/T40473.7一2021 该控制机制采用【单选:白名单,黑名单,【描述赋值;其他确定端口的模式】进行管理 完整性族(SE_IrG) 6.1内部的非功能需求(NFIR) 6.1.1网络协议完整性(ISE_ITG.1) SE_ITG.1.1应用系统在【多选;所有协议均不,内网服务器之间的通信协议,内网服务器与外部 专线网络的通信协议,内部服务器与互联网服务器的通信协议,内部服务器与内网客户端之间的通信协 议,内部服务器与外部专线网络客户端的通信协议,内部服务器与互联网客户端的通信协议,【描述赋 值:其他通信对象之间的协议】具有防止信息被未经授权的【多选:生成,变更,删除】的机制 SE_IrG.1.2【重复;应用系统在【枚举项;IsE_ITG.1.1中每个选中的选项】的机制包括【多选;在 通信过程中采用校验码,通信过程对【单选;全部,部分】数据加密,通信双方建立连接前利用密码技术进 行会话初始化验证,使用安全协议【描述赋值;协议名称及版本】,通过可信信道传输，【描述赋值;其他安 全机制】.】 ISE_ITG.1.3在人机交互通信过程,应用系统通过【多选:手机短信,电话语音,电子邮件,【描述赋 值:即时通信软件名称】,【描述赋值:其他交互方式对通信涉及的【措述赋值:相关内容】进行【多选:提 醒,确认,【描述赋值:其他交互动作] 6.1.2本地数据完整性(ISE_IG.2) SE_ITG.2.1应用系统【单选;能,不能】检测到【多选:系统管理数据,鉴别信息,重要业务数据 【描述赋值;其他特定数据在【多选;采集,传输,使用,存储】过程中完整性受到破坏,并在检测到完整 性错误时单选;能,不能】进行恢复 /关如对不同的数据或不同的过程情况不同,应使用细化和重复 操作说明关/ SE_ITG.2.2【重复;应用系统防止存储的信息被未经授权的枚举项;生成,变更,删除】机制包括 【单选;无,对存储的内容建立摘要,对存储的内容加密,【描述赋值:其他安全机制】 如对不同的存 储内容采用不同的完整性控制机制,应使用细化和重复操作说明着】 SE_ITG.2.3【重复:;应用系统防止加工的信息被未经授权的【枚举项:生成,变更,删除】机制包括 【单选;无,重新擦写方式清除数据的存储空间.【描述赋值:其他安全机制】 如对不同的加工采用 不同的完整性控制机制,应使用细化和重复操作说明*/ SE_ITG.2.4应用系统防止自身被未经授权的变更的机制包括【描述赋值;防止自身被变更的技 术施】. 6.2外部的非功能需求(NFoR) OSE_ITG.1.1应用系统的运行环境【单选:能,不能】检测到对重要服务器进行人侵的行为,【单 选;能,不能】记录人侵的源P,攻击的类型,攻击的目的,攻击的时间,【单选:能,不能】在发生严重人侵 事件时提供报警 OSE_ITG.1.2应用系统的运行环境【单选;能,不能】对重要程序的完整性进行检测.【单选;能,不 能】在检测到完整性受到破坏后具有恢复的措施,【单选;能,不能】在检测到完整性即将受到破坏时进行 事前阻断 OSE_ITG.l.3应用系统的运行环境【单选;安装,未安装】国家安全部门认证的正版防恶意代码软 件 对于依附于病毒库进行恶意代码查杀的软件【单选;能,不能】及时更新【多选;防恶意代码软件版 本,恶意代码库,【描述赋值:其他组件】;对于【多选:主动防御类软件,【描述赋值:其他非依赖于病毒库 12
GB;/T40473.7一2021 进行恶意代码防御的软件].【单选;能,不能】保证软件所采用的特征库有效性与实时性;对于某些不能 安装相应软件的系统【单选;采取【描述赋值:安全措施描述】,未采取】安全防护措施来保证系统不被恶 意代码攻击 注:本条中的元素均属于完整性族中外部非功能需求的应用环境完整性(0SEITG.1)组件 抗抵赖性族(SENRP 7.1内部的非功能需求(NFIR) 7.1.1原发和接收证据ISE_NRP.1) SE_NRP.1.1【重复:应用系统【单选:能,不能】作为数据【枚举项:发送者,接受者】提供不可否认 的证据 】 SE_NRP.1.2应用系统【单选:具有,没有】在请求的情况下为数据原发者或接收者提供数据原发 证据的功能 在具有功能的情况下,原发证据包括【多选;操作时间,操作人员,操作类型,操作内容,业 务流水号,账户名,IP地址,交易指令,【描述赋值;其他证据相关内容】 SE_NRP1.3应用系统【单选:具有,没有】在请求的情况下为数据原发者或接收者提供数据接收 证据的功能 在具有功能的情况下,接收证据包括【多选;操作时间,操作人员,操作类型,操作内容,业 务流水号,账户名,IP地址,交易指令,【描述赋值:其他证据相关内容】 7.1.2支持数字签名IsE_NRP.2) 1SE_NRP.2.1【重复:应用系统在【枚举项:与客户端通信,与其他服务器通信，【描述赋值:其他情 形]时对【描述赋值:签名的对象】进行数字签名.】 7.2外部的非功能需求(NFOR) 本文件未提供抗抵赖性族外部的非功能需求模板 在新识别出抗抵赖性族外部的非功能需求时,应按照GB/T40473.12021中第7章的要求扩展 和编制 可核查性族(SE_AcN) 8.1内部的非功能需求(NrFIR) SE_ACN.1.1应用系统记录的日志的审计功能【单选;能,不能】被单独中断;该审计功能记录的 日志【单选:能,不能】被未经授权的查看 1SE_ACN,1.2应用系统记录的日志【单选;能,不能】被未经授权的【多选;生成,变更,删除】而无 法确认/关如生成、变更和删除的控制不一样,应使用细化和重复操作说明 SE_ACN.1.3应用系统【单选;未设立,设立单级,设立多级】审计员角色 在设立多级审计员角 色时,级别的划分策略是【描述赋值;多级审计员的划分策略】 SE_ACN.1.4应用系统审计日志访问控制权限为【单选;只读不可拷贝,只读可拷贝,【描述赋值: 其他选项】 SE_ACN.1.5应用系统的安全审计功能能够记录的系统重要安全事件包括【多选:用户管理相关 操作,用户在系统中的关键业务操作,应用系统关键数据更新,应用系统警告与错误信息,用户管理操 作,用户关键业务操作,【描述赋值;其他安全事件]. SE_ACN.1.6/*仅当1SE_ACN.1.5给出时适用关【重复;应用系统针对【枚举项:ISE_ACN. 13
GB/T40473.7一2021 1.5中每个选中的选项】,日志记录的内容包括事件的【多选:日期,时间,发起者信息,类型,描述,结果， 【描述赋值;其他选项】.】 1SE_ACN.1.7应用系统定期备份审计记录期限为【指标赋值;记录期限/关带有时间单位关】 备份保存周期为【指标赋值;备份保存时间/*带有时间单位*】备份清理周期为【指标赋值;备份清 理时间/×带有时间单位 !SE_ACN,1.8应用系统【单选;有,没有】安全审计日志级别动态调整机制 ISE_ACN.1.9应用系统审计日志的访问本身【单选:不记录,记录在本日志中,记录在另外的日志 中,【描述赋值:其他记录方式1. ISE_ACN.1.10应用系统审计日志的访问与审核【单选;在本应用系统中进行,在另外【描述赋值: 其他可访问日志的系统名称】中进行,【描述赋值;其他访问方式】. IsE_ACN,1.l1对于从互联网客户端登录的应用系统,在每次用户登录时【单选;“能够提供用户 上一次成功登录的[多选;日期,时间,方法,位置.【描述赋值;其他信息】",不能提供任何信息】. 注:本条中的元素均属于可核查性族中内部非功能需求的应用系统审计(ISE_ACN.1)组件 8.2外部的非功能需求(NFOR) 8.2.1运行环境审计(oSE_ACN.1)y OsE_ACN.1.1应用系统的运行环境【单选;有,没有】审计机制 OSE_ACN.1.2/*仅当OsE_ACN.1.1给出时适用关/在应用系统的运行环境具有审计机制 时,审计范围覆盖到【多选;服务器,客户端】上的【多选;每个操作系统用户,每个数据库用户.【描述赋 值.特定用户n OSEACN.1.3 仅当0SE_ACN.1.1给出时适用*/在应用系统的运行环境具有审计机制 时,审计内容包括【多选重要用户行为,系统资源异常使用,重要系统命令使用,账号分配创建与变更， 审计策略调整,审计系统功能的关闭与启动.【描述赋值:其他审计事项】. 0SE_ACN.1.4 仅当OSE_ACN.1.1给出时适用并/在应用系统的运行环境具有审计机制 时,审计记录包括【多选:事件的日期,事件时间、事件类型、主体标识、客体标识,结果,【描述赋值:包含 的其他内容】等,【单选;定期备份,不定期备份,不备份】审计记录,涉及敏感数据的记录保存时间不少 于【指标赋值:保存的时间】 OSE_ACN,.1.5 仅当OSE_ACN.1.1给出时适用*/在应用系统的运行环境具有审计机制 时【单选;能,不能】根据记录数据进行分析,并生成审计报表 OSE_ACN.1.6 仅当OSE_ACN.1.1给出时适用*/在应用系统的运行环境具有审计机制 时.【单选;能,不能】保护审计进程,避免受到未预期的中断 OSE_ACN.1.7 仅当OSE_ACN.1.1给出时适用关/在应用系统的运行环境具有审计机制 时.【单选;“能够保护审计记录,避免受到未预期的【多选;删除,修改,覆盖,【描述赋值;其他对审计日志 的破坏”,无审计记录保护机制】 8.2.2网络审计(OSE_ACN.2 应用系统的运行网绵[单选;有.没有】市计机制 OSE_ACN.2.1 OSE_ACN.2.2 仅当0SE_ACN.2.1给出时适用关/在应用系统的运行网络具有审计机制 时,对运行网络中的【多选:网络设备运行状况,网络流量,用户行为,【描述赋值:其他需记录事项】进行 日志记录,记录的内容包括多选;事件的日期和时间,用户,事件类型,事件是否成功，【描述赋值;其他 需要记录的内容】 OSE_ACN.2.3/*仅当OSE_ACN.2.1给出时适用*/在应用系统的运行网络具有审计机制 14
GB;/T40473.7一2021 时,【单选;能,不能】根据记录数据进行分析,并生成审计报表 OSE_ACN.2.4/*仅当OSE_ACN.2.1给出时适用*/在应用系统的运行网络具有审计机制 时,【单选“能够保护审计记录,避免受到未预期的【多选;删除,修改,覆盖,【描述赋值:其他对审计日志 的破坏】”,无审计记录保护机制】 OSE_ACN.2.5/*仅当OsE_ACN.2.1给出时适用着/在应用系统的运行网络具有审计机制 时,【单选;能,不能】定义审计跟踪极限的闵值;当存储空间接近极限时,【单选;能,不能】采取必要的措 施,防止审计数据丢失 真实性族(SE_AUr) 9.1内部的非功能需求(NFIR) g.1.1用户划分与身份鉴别(ISE_AUT.1 SE_AUT.1.1应用系统用户角色包括【多选;超级管理员,专项管理员,技术运维操作员,业务运 维操作员,审计员,应用操作员,普通用户,浏览用户,交易用户,匿名用户,【描述赋值;其他用户角色】 SE_AUT.1.2/关仅当1ISE_AUT.1.1给出时适用*【重复:应用系统对枚举项:ISE_AUT.1.l 选择的所有用户角色单选:“仅采用一种身份认证机制”,“采用两种以上的身份认证机制,且【单选;这 些身份认证机制并行使用,这些身份认证机制串行使用】.】 1SE_AUT.1.3 仅当ISE_AUT.1.1给出时适用关【重复;应用系统的【枚举项:ISE_AUT.1.1 选择的所有用户角色】口令长度不少于【指标赋值:口令长度最短位】位且不多于【指标赋值:口令长度最 多位】 口令文本仅能包括【多选:数字,小写字母,大写字母,标点符号,特殊英文半角符,汉字,【描述赋 值:其他字符类型】/关如对不同种类的用户口令范围不一样,应执行细化和重复操作进行说明*】类 型,且一个口令文本不应少于上述【指标赋值:类型的数量/关如对不同种类的用户口令允许的类型数 量不一样,应执行细化和重复操作进行说明 】种类型 口令文本【单选:允许,不允许】以【描述赋值 特定范围的】单词、本人生日中的连续【指标赋值;位数,应不小于3】数字、【指标赋值:;连续的位数,应不 小于3】个【多选;相同,连续排列,身份证件号码中的连续排列,手机号码中的连续排列,固定电话中的 连续排列,键盘上相邻按键对应字符,【描述赋值:其他运算规则】数字作为口令,【单选;允许任何符号 不允许用【多选;数字,大写字母,小写字母,标点符号,特殊英文半角符】开头. 1SE_AUT.1.4 仅当ISE_AUT.1.1给出时适用 I重复:应用系统的枚举项:ISE_AUT.1. 选择的所有用户角色】的初始口令【单选:允许,不允许】执行业务功能,登录口令变更机制为【多选;首次 使用修改，【描述赋值;规定周期】修改,【描述赋值;其他选项】.】 1SE_AUT.1.5 仅当ISE_AUT.1.1给出时适用关I重复;在应用系统的枚举项;ISE_AUT. 1.1选择的所有用户角色】可同时拥有【多选;仅 登录,查询,动账,系统管理,【描述赋值:其他密码 类型】口令 这些口令【单选;允许,不允许】联动设置,【单选;允许,不允许】使用相同的口令.】 SE_AUT.1.6应用系统的一个用户【单选:允许,不允许】承担多个用户角色 SE_AUT.1.7应用系统【单选;禁止,不禁止】同一用户同时多次登录系统 SE_AUT.1.8应用系统采用的身份认证机制方法包括【多选:口令,密码表,磁条卡,条码,二维条 码,IC芯片,智能令牌,手机短信动态密码,数字证书,指纹,面部识别,虹膜,掌纹,掌动脉,声纹,【描述 赋值:其他方法】/关应对每一选择执行细化说明应用的场景 SE_AUT.1.9应用系统的口令【单选;允许,不允许】显示明文 【单选:允许,不允许】浏览器或应 用客户端在本地保存 1sE_AUT.1.10【重复:用户登录应用系统时,允许的最大连续失败登录次数为【指标赋值给定的 数值枚举项:次/小时,次/天,【描述赋值:其他登录周期】】 用户连续失败登录次数超过该次数时,系 15
GB/T40473.7一2021 统【多选;无操作,锁定用户,锁定客户端,向用户手机发送短信,向用户邮箱发送邮件,向用户即时通信 软件发送信息,向管理员手机发送短信,向管理员邮箱发送邮件,向管理员即时通信软件发送信息.【描 述赋值:其他操作】】. ISE_AUT.1.11应用系统【单选;不能检测重复使用历史口令,能检测【多选【指标赋值;指定时间 间隔】【指标赋值:指定变更次数】.【描述赋值:其他指定内容】重复使用的口令】 9.1.2登录保护(ISE_AUT.2) ISE_AUT.2.1应用系统用户口令输人方式支持【多选键盘输人,软键盘输人,指纹替代输人,虹 膜替代输人,脸部扫描替代输人,声纹替代输人,【描述赋值:其他输人方式】方式 1SE_AUT.2.2/关仅当ISE_AUT.2.1给出时适用关/应用系统使用软键盘方式输人口令时,【单 选;对,不对】整体键盘布局进行随机干扰 1SE_AUT.2.3应用系统用户密码登录机制【单选:不具有,具有【多选:图形认证码,密码存储介 质,密码的更新机制.【描述赋值;其他措施】防范暴力破解静态密码的保护措施 ISEAUT.2.4 /应用系统在使用图形认证码防范暴力破解 仅当ISE_AUT.2.3给出时适用关 静态密码时,图形验证码的保护措施包括【多选;由数字和字母组成,随机产生,包含足够的噪音干扰信 息,不能自动识别图片上的信息,具有使用时同限制并仅能使用一次,具有计算或推理含义.【描述赋值 其他措施 IsE_AUT.2.5应用系统在使用密码存储介质防范暴力破解静态密码时,对允许密码存取的保护 措施包括【多选;通过计算机键盘输人口令,通过密码存储介质上输人口令,通过短信随机口令,通过邮 件随机口令,通过及时通信软件随机口令,通过令牌产生的口令,【描述赋值;其他方式1. ISE_AUT.2.6【重复;应用系统使用的密码更新防范暴力破解静态密码的保护措施采用以下方 式;在【枚举项;用户首次登录系统,用户密码持续使用时间超过【指标赋值;给定的时间,单位可为天,小 时【描述赋值:其他需要强制客户修改的条件时,强制客户修改【多选;初始,当前.【描述赋值:其他 密码类型1密码. ISE_AUT.2.7应用系统客户端登录源采用【多选;无控制,通过IP地址绑定,通过MAC地址绑 定,通过IPSEC控制,通过客户端软件控制,通过堡垒机,【描述赋值:其他方法机制 ISE_AUT.2.8应用系统在用户登录成功后,【单选;不提供上一次成功登录的任何信息,提供上 次成功登录的【多选:日期,时间,方法位置.【描述赋值:其他提示信息11 ISE_AUT.2.9应用系统用户登录失败时,【单选;结束会话,返回登录的界面,提示密码错,提示用 户名/密码不存在,【描述赋值;其他提示信息】,【单选限制,不限制】非法登录次数 ISE_AUT.2.10应用系统【单选;只要登录后一直在线,在持续【指标赋值;空闲的时间间隔】无操 作后退出登录状态,在持续【指标赋值;空闲的时间间隔】无操作后屏幕显示即将退出的信息且在【指标 赋值;等待的时间间隔】仍无操作后退出登录状态】. g.1.3数字证书(ISE_AUT.3 SE_AUT.3.1应用系统【单选;使用,不用】数字证书安全机制 1SE_AUT.3.2 仅当ISE_AUT.3.1给出时适用*/应用系统在使用数据证书安全机制时,数 字证书存储在【单选;本计算机硬盘,USBkey,【描述赋值;专用存储介质]中 1SE_AUT.3.3/*仅当ISE_AUT.3.1给出时适用关/应用系统的数字证书安全介质管控机制为 【单选;无,退出登录时提示客户取下专用数字证书存储介质(如USBkey),检测到数字证书存储介质取 下后方允许退出,【描述赋值:其他机制1. 1sE_AUT.3.4/*仅当ISE_AUT.3.1给出时适用关/在使用USBKey存储证书时,采取的安全 措施包括【多选:USBKey的个人化过程在安全环境下进行,采用具有密钥生成和数字签名运算能力的 16
GB;/T40473.7一2021 智能卡芯片,USBKey的签名等敏感操作前应经过客户身份鉴别,USBkey的签名等敏感操作应具备操 作提示功能(包括但不限于声音、指示灯,屏幕显示等).,【描述赋值:其他机制】 SE_AUT.3.5 仅当ISE_AUT.3.1给出时适用关/应用系统在使用证书进行用户鉴别时,提 关 供证书的方式为【单选;只能在专用的计算机下载到专用介质后通过人工传递,生成授权号和鉴别码后 在用户端下载到专用介质,生成授权号和鉴别码后下载到本地计算机,凭用户名和初始密码下载到本地 计算机,【描述赋值:其他机制】 1SE_AUT.3.6/关仅当1SE_AUT.3.1给出时适用*/应用系统在USBKey存储数字证书时,有 效使用保证机制包括【多选:防远程挟持,签名自动识别,USBKey功能细化控制,【描述赋值:其他机 制】】. SE_AUT.3.7/关仅当ISE_AUT.3.1给出时适用*/应用系统存储数字证书的USBKey单选: 无,有】生物特征验证 有生物特征验证的,可验证的生物特征包括【多选;指纹,虹膜,【描述赋值:其他 生物特征】 1SE_AUT.3.8/*仅当ISE_AUT.3.1给出时适用*/应用系统存储数字证书的USBKey单选 带有,没有】按键 有按键的,未经按键确认,USBKey【单选:能,不能】进行签名,【单选:能,不能】产生 输出 9.1.4数字令牌(ISE_AU.4 IsE_AUT.4.1应用系统【单选;使用,不用】数字令牌安全机制 SE_AUT.4.2/关仅当1SE_AUT.4.1给出时适用关/应用系统在使用数据令牌安全机制时,数 字令牌应用位于【单选;专用令牌设备,USB令牌设备,手机,本地计算机.【描述赋值:其他设备1中 SE_AUT.4.3/*仅当ISE_AUT.4.1给出时适用关/应用系统使用的数字令牌为【单选;动态密 码,挑战应答,【描述赋值:其他方式. SE_AU.4.4/*仅当ISE_AUT.4.1给出时适用关/应用系统使用的数字令牌【单选;无,有】生 物特征验证 有生物特征验证的,可验证的生物特征包括【多选;指纹,虹膜,【描述赋值:其他生物特 征1 9.1.5系统连接(ISE_AUT.5) 1SE_AUT.5.1【重复;应用系统与【枚举项:数据库,【描述赋值;另外的应用系统名称】.【描述赋 值;其他具有用户的底层支撑软件1连接时,【单选;“采用另外的用户鉴别机制”,“采用用户名与口令机 制的,用户名与口令【单选;明文固定在程序中,密文固定在程序中,明文存放于配置文件中,密文存放于 配置文件中,明文存放于数据库中,密文存放于数据库中,【描述赋值;其他存储方式]"】.】 9.2外部的非功能需求(NFoR) 本文件未提供真实性族外部的非功能需求模板 在新识别出真实性族外部的非功能需求时,应按照GB/T40473.1一2021中第7章的要求扩展和 编制 17
GB/T40473.7一2021 附 录 A 资料性) 访问控制的类型 访问控制的概念和基本类型 A.1 A.1.1访问控制的概念 访问控制指按用户身份及其所归属的某项定义组来限制用户对某些信息项的访问,或限制对某些 控制功能的使用 访问控制通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问 A.1.2访问控制的基本类型 访问控制可分为自主访问控制和强制访问控制两大类 自主访问控制,是指由用户有权对自身所创建的访问对象(文件、数据表等)进行访问,并可将 a 对这些对象的访问权授予其他用户和从授予权限的用户收回其访问权限 b 强制访问控制,是指由系统(通过专门设置的系统安全员)对用户所创建的对象进行统一的强 制性控制,由预先设定的规则决定哪些用户可以对哪些对象进行什么操作类型的访问,即使是 创建者用户,在创建一个对象后,也可能无权访问该对象 A.2访问控制的机制 A.2.1主客体视角的访问控制模型 主客体视角的访问控制模型(SubjectobjeetViewofAcessControlMode)从受控主体的角度出 发,将访问客体的访问权限直接与受控主体相关联,这种访问控制大多以访问控制矩阵、访问能力表或 者访问控制列表等方式来实现 主客体视角的访问控制模型是最早得以大规模应用,也是最容易实现的访问控制模型 但面对需 要进行访问控制的主客体数量都比较巨大时,用户权限的管理任务将变得十分繁重,并且用户权限难以 维护,从而降低了系统的安全性和可靠性 A.2.2基于角色的访问控制模型 基于角色的访问控制模型(RBACModel,Role-basedAccessModel);RBAC模型的基本思想是将 访问许可权分配给一定的角色,用户通过饰演不同的角色获得角色所拥有的访问许可权 RBAC从控制主体的角度出发,根据管理中相对稳定的职权和责任来划分角色,将访问权限与角色 相联系,这点与传统的MAC和DAC将权限直接授予用户的方式不同;通过给用户分配合适的角色,让 用户与访问权限相联系 角色成为访问控制中访问主体和受控对象之间的一座桥梁,即依据RBAC策 略,系统定义了各种角色,每种角色可以完成一定的职能,不同的用户根据其职能和责任被赋予相应的 角色，一旦某个用户成为某角色的成员,则此用户可以完成该角色所具有的职能 A.2.3基于任务的访问控制模型 基于任务的访问控制模型(TBACModel,TaskbasedAccess Comtolodl)是从应用和企业层角 度来解决安全问题,以面向任务的观点,从任务(活动)的角度来建立安全模型和实现安全机制,在任务 处理的过程中提供动态实时的安全管理 在TBAC中,对象的访问权限控制并不是静止不变的,而是随着执行任务的上下文环境发生变化 18
GB;/T40473.7一2021 TBAC首要考虑的是在工作流的环境中对信息的保护问题;在工作流环境中,数据的处理与上一次的 处理相关联,相应的访问控制也如此,因而TBAC是一种上下文相关的访问控制模型 其次,TBAC不 仅能对不同工作流实行不同的访问控制策略,而且还能对同一工作流的不同任务实例实行不同的访问 instance-based 控制策略 从这个意义上说,TBAC是基于任务的,这也表明,TBAC是一种基于实例(Gin 的访问控制模型 19
GB/T40473.7一2021 考文献 参 [1]GB/T25000.10一2016系统与软件工程系统与软件质量要求和评价(sQuaRE第10 部分:系统与软件质量模型 [[2]JR/T0071一2020(所有部分金融行业网络安全等级保护实施指引 [3]IsO/TR14742:2010Finaneialservices -Recommendatiomsoncryptographicalgorithmns andtheiruse 20

银行业应用系统非功能需求第7部分：安全性GB/T40473.7-2021

随着互联网技术的发展，银行业应用系统已经成为了金融机构最基础和最核心的基础设施。然而，由于涉及到大量敏感数据和交易信息，银行业应用系统的安全性是至关重要的。因此，国家制定了GB/T40473.7-2021标准，以确保银行业应用系统的安全性。 该标准主要从以下几个方面考虑： 1.安全需求分析：在系统设计前，需要对系统的安全性进行需求分析，明确用户对系统安全性的具体要求。 2.身份认证与授权：在应用系统中，必须能够对用户的身份进行识别和验证，并为其授予相应权限。 3.敏感数据加密：银行业应用系统中包含大量涉及金融业务的信息，因此敏感数据加密是非常重要的一点。该标准对系统中涉及到的敏感数据进行了详细规定和要求。 4.网络安全：银行业应用系统需要面对各种网络攻击，包括黑客攻击、恶意软件等。该标准对系统的网络安全性进行了详细规定和要求。 该标准的实施可以帮助银行业应用系统提高安全性，保障用户数据和资金的安全。同时，也可以提高整个金融系统的风险控制能力，防范各种网络安全事件的发生。 总之，随着银行业应用系统的不断发展，GB/T40473.7-2021标准的实施是非常必要的。通过此标准的规定和要求，可以有效提高银行业应用系统的安全性，保障用户金融信息的安全。

银行业应用系统非功能需求第7部分：安全性的相关资料

和银行业应用系统非功能需求第7部分：安全性类似的标准